纪正坦|欧美数据跨境流动规则博弈的崭新阶段与中国因应
从《安全港协定》到《隐私盾协定》,欧美数据跨境流动经历了数次交锋,趋向离散又渐趋弥合,冲突的本质在于欧盟数据权利保护与美国数据监控主义的分歧。《欧盟—美国数据隐私框架的充分性决定》作为欧美博弈的最新成果,较《隐私盾协定》有了针对性改观,包括创设新的隐私义务、引入约束性的双重救济机制、形成定期审查机制。《充分性决定》的正式达成弥补了《隐私盾协定》失效后跨大西洋数据流动的体系缺憾,增加了大西洋两岸数据跨境流动的法律确定性,同时也为中国企业的数据跨境流动带来了新的机遇与挑战。在规则的更新迭代下,中国应当在立法中寻求数据保护与流动之间的平衡,着眼于企业数据跨境流动规范建设的源头预防,增强国际合作与理念推广,提升中国数据跨境流动范式的话语权。
引言
2023年11月27日,习近平总书记在中共中央政治局第10次集体学习时强调:“要坚定维护以国际法为基础的国际秩序,主动参与国际规则制定,推进国际关系法治化。积极参与全球治理体系改革和建设,推动全球治理朝着更加公正合理的方向发展,以国际良法促进全球善治,助力构建人类命运共同体。”数据跨境流动作为数字贸易的核心议题,已成为数字经济发展的重要引擎。早在1980年,经合组织(OECD)颁布了《隐私保护及个人数据跨境流动指南》(以下简称《指南》),为全球数据流动提供了规范指引。鉴于《指南》主要起到指导性作用,而不同国家之间的法律现状和经济发展水平存在差异,时至今日,全球数据跨境流动规则仍未达成统一体系。其中,欧盟和美国对数据跨境流动规则嗅觉较为敏锐,二者的数据跨境流动范式长期走在世界前列。然而,从《安全港协定》到《隐私盾协定》,欧美之间数据跨境流动的合作与博弈未曾停歇。2023年7月10日,欧盟委员会通过了《欧盟—美国数据隐私框架的充分性决定》,意味着欧盟—美国数据隐私框架(以下简称DPF)的正式达成。由于英国已退出欧盟,无法直接适用该传输机制,在2023年10月21日,英国与美国正式确认“英美数据桥”正式生效,在“欧盟—美国数据隐私框架的英国扩展”体系之下,英国组织可以将个人数据传输至经该体系认证的美国组织,无须采取“传输风险评估”等额外的保护措施。有鉴于此,本文对欧美数据跨境流动规则博弈的历程进行梳理,重点探讨《充分性决定》的新规则,最终提出中国应对《充分性决定》规则的方案。
一、欧美数据跨境流动规则博弈的嬗变
欧美双方经历了20余年的数据跨境流动博弈历程,趋向离散又逐渐弥合。双方的根本目的在于提高自身制度的全球影响力,从而在全球数据治理体系中掌握规则制定的话语权。
(一)趋向离散:《安全港协定》到《隐私盾协定》的对抗
1995年,欧盟出台了《数据保护指令》(以下简称《95指令》),美国于2000年针对该指令与欧盟达成了《安全港协定》。此时,David A. Tallman指出欧盟《数据保护指令》如果得到全面执行,可能会阻碍个人数据向美国转移,导致美国公司的数据流动被《安全港协定》排除。2015年,欧洲法院认定《安全港协定》第1条不符合《95指令》第25条第6款和《欧盟基本权利宪章》的要求,因而宣告《安全港协定》失效。同年12月,Schrems重新提交了材料进行申诉,对美国能否为欧盟数据主体的个人数据跨境流动提供充分保护持怀疑态度。彼时,S.Houseman和M.Mandel认为数据流动已经成为全球经济运作的必要条件,数据跨境流动势不可遏。2016年7月,欧盟委员会作出《关于欧盟—美国隐私盾的充分性协定》(即《隐私盾协定》),认为该协定符合《95指令》所要求的充分保护水准,欧美之间达成了数据跨境流动领域的第二次合作。
2018年5月,被誉为引发数据保护领域“逐顶竞争”的欧盟通用数据保护条例(GDPR)正式生效,爱尔兰高等法院将该案再度提交至欧盟法院。在GDPR数据保护高标准规则下,当个人数据传输至入境国,出境国就丧失了对数据物理层面的控制权,如果无法提供有效的隐私保护以防泄露,很可能损害国内数据保护目标的实现。2020年7月,欧洲法院认为美国《外国情报监控法案》第7章第702条的监控制度不符合《欧盟基本权利宪章》第52条的比例原则,未能赋予欧盟数据主体有效的行政或司法救济途径,《12333号行政令》允许美国国家安全局通过大西洋海底电缆访问欧盟传输至美国的数据,却未赋予数据主体对美国当局提起诉讼的权利,未能达到欧盟要求的数据保护水平,据此宣告欧美之间的《隐私盾协议》无效,欧盟数据保护标准合同条款(SCCs)原则上继续有效,但要求在评估个案时需采取额外安全措施达到欧盟的“实质同等保护水准”。此外,隐私盾监督员并非《欧盟基本权利宪章》第47条中的法庭,其独立性受到了质疑。在此背景下,欧美采取不同的立法模式和标准,双方分歧难以弥合,《隐私盾协定》的无效有助于欧盟重新夺回技术主权。《隐私盾协定》的无效反映了欧盟“技术主权战略”与美国“监控资本主义”之间的对抗。《隐私盾协定》的无效判决虽然完善了欧盟数据跨境法律监管,但外界对监管合理性的质疑依然存在。至此,欧美数据跨境流动的第二次合作宣告破产。
(二)渐趋弥合:《隐私盾协定》失效后的再度妥协
2020年9月,美国发布关于SCCs和其他传输机制的《白皮书》。2020年11月,欧盟委员会通过《监控措施建议》,欧洲数据保护委员会于2021年6月通过《补充措施建议》。欧美于2022年3月达成《跨大西洋数据隐私框架联合声明》。同年10月,美国拜登政府签署了《关于加强美国信号情报活动安全保障措施的第14086号行政命令》(以下简称14086号行政令),佐以美国司法部《数据保护审查法庭条例》为补充,对美国执法机构收集个人数据的保护规则、司法救济途径等进行完善。2022年12月,欧盟委员会对《欧盟—美国数据隐私框架的充分性决定》启动审查程序并发布相关草案,欧盟数据保护委员会等对此发表了意见。欧盟和美国的数据跨境流动规则都旨在维护自身利益,在《隐私盾协定》失效之后,大西洋两岸的数据跨境传输受到了直接影响。有鉴于此,双方及时采取了一些措施,欧盟强化了数据跨境流动中的隐私保护,美国对国内立法进行了修补完善,二者之间的制度博弈不断革新着全球数据跨境流动环境。
然而,由于最终的合作框架无法一蹴而就,这些前期探索并未带来很大改观。2023年5月22日,爱尔兰数据保护委员会(DPC)认定Facebook的母公司Meta通过SCCs向美国服务器传输欧盟数据主体个人数据的行为违反了GDPR,使欧盟数据主体的基本权利和自由处在风险之中,对Meta开出了约13亿美元的巨额罚单,这也是自GDPR颁布以来数额最高的罚款。鉴于Meta的欧洲总部设在爱尔兰,根据GDPR第3条第1款的“设立机构”标准,位于爱尔兰的数据处理者Meta在其经营活动范围内实施的个人数据跨境传输行为,应当受到GDPR的约束。事实上,爱尔兰DPC从2020年8月就针对Meta的数据传输行为展开了调查,在此期间,欧盟委员会于2021年6月颁布了新版的SCCs,爱尔兰DPC将新版SCCs也纳入了处理决定之中。此外,由于14086号行政令的适用前提是将欧盟纳入符合条件的范围之内,而爱尔兰DPC认为其规定的保护措施并未实际实施,因而不能基于14086号行政令认定其数据传输行为合法。尽管新版本的SCCs对政府获取个人数据的内容进行了明确规定,但爱尔兰DPC仍认为其无法对《隐私盾协定》中美国法律存在的漏洞单独补充完善。爱尔兰DPC认为Meta违反了《隐私盾协定》无效案中的一些规定,Meta连续重复的实施违法的数据传输行为,产生了非常严重的后果,应当在5个月内暂停向美国跨境传输欧盟用户的个人数据,在半年内停止对已传输的数据进行非法处理。Meta方面表示,此裁决可能限制互联网时代的数据跨境传输并遏制全球经济发展,并对爱尔兰DPC的处理决定提出上诉以延缓决定的执行,从而为欧美数据隐私框架的达成争取时间。Meta案的推波助澜,加快了双方达成新的数据跨境传输合作框架。Meta最终如愿以偿,2023年7月10日,欧盟委员会正式通过了《欧盟—美国数据隐私框架的充分性决定》,标志着双方迈入了第三次合作的崭新阶段。
(三)分歧根源:欧盟数据权利保护VS美国数据监控主义
从《安全港协定》到《隐私盾协定》再到《充分性决定》,欧盟在与美国的制度博弈中不断取得胜利,使欧盟数据保护范式的“布鲁塞尔效应”持续扩张,美国则成为不断修改国内法的被动规范方。追溯20余年的博弈历程,双方的分歧根源在于欧盟数据权利保护与美国数据监控主义之间的冲突。
由于欧洲经历过两次世界大战,欧盟对公民的基本权利保护十分关注,于是将数据主体的隐私权和数据权利置于重要地位。欧盟基于通用数据保护条例(GDPR),通过充分性认定、标准合同条款、有约束力的公司规则和认证机制等严格保护标准,使欧盟的数据保护模式成了全球范式,并在GDPR第3条“地域范围”中通过“设立机构、目标指向、因国际公法而适用”三个标准扩大了GDPR的域外适用范围,让欧盟数据保护的域外管辖权得到进一步扩张。2020年2月,欧盟发布《塑造欧洲的数字未来》《欧洲数据战略》《人工智能白皮书》三份文件,意图通过实施“技术主权”战略抢占未来的数字经济高地、掌握数字经济时代的规则话语权。为了实现统一成员国数据治理体系的目标,2022年4月6日,欧洲议会通过了《数据治理法》(DGA)。此外,欧洲议会分别于2021年12月和2022年1月通过了《数字市场法》(DMA)和《数字服务法》(DSA),针对美国Facebook、Google等互联网巨头设立了“数字守门人”制度,严格规制域外平台企业的野蛮生长,表明了欧盟维护数字市场公平竞争、保护域内平台企业的决心。2023年11月27日,欧盟理事会正式批准《数据法案》,作为实现欧盟单一数据市场的关键立法,《数据法案》赋予个人和企业更多的数据控制权,强化了非个人数据跨境流通的保障措施,促进了欧盟在数据驱动型社会中的领导地位。
欧盟通过单一市场迫使他国接受欧盟范式并与之对标,并通过跨国公司的数据规范义务将欧盟标准渗透至全球商业领域。换言之,欧盟将自身数据保护法律制度的规制标准扩散至世界其他地区,迫使其他国家主动推进国内法律制度向欧盟靠拢,产生一种“前所未有的、看似非强制实则强制”的全球性规制能量,被称为“布鲁塞尔效应”。然而,相较于美国和中国,欧盟数字经济规模并不突 出,欧盟域内的大型数字平台在全球占比只有4%左右,而中国和美国占比约90%,但欧盟却是美国互联网巨头全球用户和收入贡献最多的地区,欧盟庞大的数字市场让美国始终不愿割舍。不难看出,欧盟在数据保护领域为全球确立黄金法则,通过规则制定牢牢掌握数据的控制权,让美国大型互联网企业成为被动的规范方,欧盟范式也得到了日本、韩国、巴西等国家的纷纷效仿。我国也在数据安全法、个人信息保护法、《数据出境安全评估办法》等法律法规中不同程度地借鉴了GDPR,在2023年2月国家网信办出台的《个人信息出境标准合同办法》及个人信息出境标准合同本文也参照了欧盟的SCCs。由此可见,欧盟正向全球输出自己的数据保护标准,在此态势下,不同国家开启了数据保护的强监管模式,甚至产生了“数据本地化”浪潮,加剧了数据保护领域的“逐顶竞争”局面。
美国拥有众多全球超大型的互联网企业,以Facebook、Amazon、Google等为代表的互联网巨头成为瓜分全球数字市场的主力军,而互联网企业的发展高度依赖数据的自由流动。美国凭借技术优势,意图扫清数据自由流动障碍,通过《澄清境外数据合法使用法》(CLOUD Act)“长臂管辖”机制的域外效力调取境外数据,并通过行政令对收集的数据进行监控、分析,以形成“用户画像”提供精准服务,最终实现数据向美国聚拢,攫夺全球数据市场的生产利润。为了达到欧盟数据保护的“充分性认定”标准,美国在与欧盟的博弈中需要作出让步和牺牲,在情报监控立法上更需作出改变。即便如此,美国进军欧盟市场的热情始终高涨,美国意图通过获取欧盟境内的数据,实现数据监控的战略意图。这一做法将欧盟数据主权置于危险地带,欧盟基于主权和安全的考虑,力求以数据规则抑制美国数据监控,如欧盟数据保护委员会在《针对监控措施的关于欧盟重要保障的建议》中对美国的监控措施提出了四项保障建议。针对欧盟的《数据法案》,2023年6月29日,美国战略与国际研究中心(CSIS)发布《欧盟数据法案:欧洲技术监管的长臂管辖仍持续》报告,指出欧盟通过《数据法案》实施“长臂管辖”,将使美国公司的大量数据存储在欧洲境内,限制数据向美国流动,并迫使服务商采取措施防止用户数据被外国政府随意访问,欧盟的全球监管影响力被再度加强。同时,报告指出《数据法案》禁止美国科技公司在欧盟开展部分业务,这一举措将改变美国在欧盟企业的经营模式,降低欧盟对美国企业的依赖性,额外的规范成本增加将对美国在欧公司带来沉重负担,长远来看不利于经济发展。
二、欧美数据跨境流动规则博弈的崭新阶段
在《充分性决定》下,欧盟认可美国能够提供符合欧盟数据保护水平的传输措施,欧盟数据主体的个人数据可自由的传输至符合DPF认证的美国机构或组织,无须额外的数据保护措施,推动欧美之间的数据跨境流动合作与博弈进入崭新的纪元。
(一)本源探讨:《充分性决定》下DPF运行的规则
“跨大西洋数据流动对于促成7.1万亿美元的欧盟经济关系至关重要”,《充分性决定》回应了欧盟法院宣告《隐私盾协定》无效后的合理关切,将增加大西洋两岸公司的法律确定性,成为今后跨大西洋数据流动的重要法律基础。《充分性决定》包括正文和附件共136页,涵盖法律依据、具体要求和承诺等。DPF的法律依据是GDPR第45条第3款的“充分性认定”,即欧盟委员会有权对欧盟域外国家是否符合欧盟的数据保护水平进行决定。在DPF下,美国确保从欧盟传输至美国的数据保护与欧盟保护水准相当,无须另外的保护措施即可让数据安全地从欧盟传输至加入DPF的美国公司。对此,DPF纳入了具有约束力的保障措施,将美国情报部门对欧盟的数据访问权限限制在合理、必要的范围内。此外,作为DPF的前瞻性框架内容,14086号行政令与《数据保护审查法庭条例》中的部分规定被纳入了DPF中,如规定信号情报活动的目的是实现经过验证的优先情报事项,并通过美国公民自由保护官(CLPO)和数据保护审查法院(DPRC)对信号情报活动所采取措施的必要性进行独立审查监督,个人无须证明数据是由美国情报机构收集便可提出投诉。
美国当地组织可以自愿向美国商务部申请认证DPF,承诺作出DPF原则和补充原则。首先,DPF原则包括:(1)告知原则:通过认证的组织应向个人告知收集的数据类型、收集和使用的目的、接收个人数据的第三方身份、向第三方传输数据的责任等;(2)选择权:通过认证的组织应向个人提供选择退出的权利,以决定是否将个人信息披露给第三方,包含对敏感信息处理的选择权;(3)再转移的责任:通过认证的组织分别向数据控制者、代理人再转移数据的限制;(4)安全性:采取合理的措施保护个人数据免受损失,防止出现被滥用、泄露等情形;(5)数据完整性和目的限制:个人数据的处理必须与最初收集目的一致,确保个人数据的准确性和完整性;(6)保证数据主体对个人数据具有访问、更正、删改的权利;(7)问责制:如果通过认证的组织未遵守DPF原则,应具有随时可用的独立追索机制保障其承担相应的法律后果和救济责任。其次,补充原则包括:新闻业的例外情况、次要责任、数据保护机构的角色、自我认证、核查、个人数据访问权等事项。其中,核查的目的在于对经过DPF认证的组织对于DPF原则和补充原则的遵守和执行情况进行核验和检察,可以采取自我评估或规范审查的方式进行,核查内容包括隐私政策是否符合DPF原则以及是否全面执行隐私政策等,最终由该组织向指定机构证明遵守了这些原则。
相应地,美国组织向商务部提交认定DPF的申请材料中应当包含以下信息:(1)组织名称;(2)在DPF下接收欧盟个人数据的活动描述;(3)对个人数据相关的隐私政策;(4)处理与DPF原则相关的投诉、访问等问题的联系机构;(5)审理违反有关隐私法律规定的法定机构;(6)参与的隐私计划名称;(7)核查手段;(8)调查DPF原则有关申诉的独立追索机制。同时,在DPF认证过程中,美国组织需要同意接受美国联邦贸易委员会、美国运输部等欧盟认可的美国机构的调查与执法,并根据DPF原则对隐私政策进行修改,公开承诺遵守并充分执行DPF原则。经过DPF认证的组织将被公开列入《数据隐私框架名单》,并可基于DPF实施数据跨境传输,但对于医学研究、新闻活动等特殊数据,还需满足补充规定。另外,DPF认证需每年进行一次,即使被列入了《名单》中,如果经再次认证发现某组织未能持续遵守DPF原则,可以将该组织从《名单》中移除,但需提前30日向其通知并给予回应机会,根本目的旨在让参与DPF认证的美国组织持续遵守DPF原则。此外,如果美国组织谎称遵守DPF原则,美国联邦贸易委员会可以认定其行为违反《联邦贸易委员会法》中禁止不公平和商业欺诈行为的规定,该组织将面临美国联邦贸易委员会的追责。
(二)日臻完善:《充分性决定》较《隐私盾协定》的进步
从《隐私盾协定》失效后至《充分性决定》正式生效前,欧美数据跨境流动合作长期处于不确定状态,在此期间的企业数据传输活动主要依靠欧盟SCCs,但依靠SCCs传输数据的企业需要根据个案进行充分性评估,使得SCCs的合法性受到了质疑。此前,欧盟法院指出《隐私盾协定》存在两个主要缺陷:一是美国对监控的情报数据的收集和处理缺乏必要性和相称性,二是对美国非法监控情报数据的行为缺少有效的救济途径。然而,相较于《隐私盾协定》,《充分性决定》有了针对性的改善,主要包括:
相比《隐私盾协定》无法应对美国《外国情报监控法案》的监控制度缺乏比例原则、数据收集范围不明等情报活动,《充分性决定》对美国情报活动的原则、合法目的、禁止目的、数据处理活动等明确规定在国家安全利益和必要范围之内,有效限制了美国情报机构的数据访问权限。具言之,只有基于保护、评估国家安全和网络安全、预防外国军事行动等合法目的,才能在必要范围内收集数据,所收集的数据只能在特定目标内使用,非特殊的临时情况不能大范围的收集、使用数据。此外,美国组织在对欧盟数据主体的个人数据进行传输时必须遵守隐私义务,采取更强的措施保护敏感个人数据,保障个人数据的准确性与完整性,通过适当的技术措施和组织结构,确保有效遵守DPF原则。除了遵守DPF下的义务,美国组织还需将数据收集类型、处理目的和救济途径等事项告知数据主体,当发生个人数据侵权事件时,欧盟数据主体可以寻求独立的争议解决机制或仲裁小组。这些措施不仅能够防止美国情报活动对欧盟数据主体权利的侵害,亦可减少数据非法使用带来的风险隐患。
相比《隐私盾协定》未能给欧盟数据主体提供有效救济的局面,DPF的双重救济保障机制颇具特色。首先,DPF设立了由6名法官组成的DPRC,专司独立调查和解决个人数据保护投诉案件,并采取有约束力的补救措施,而《隐私盾协定》中的监察员并不能完全独立于行政部门作出决定,对情报机构也缺乏有约束力的保障措施。DPRC的法官是具有独立审查职能的非美国政府雇员,应具有数据隐私或国家安全相关领域的经验,在履职过程中不会受到行政干预而独立作出公正的裁决,并享有不被免职的特权。当欧盟数据主体的数据权利受到侵害时,可选择向具有管辖权的国家安全机构或数据保护机构进行投诉,由国家安全机构或数据保护机构将受理的投诉事项转告给CLPO,由CLPO对投诉事项进行初步审查和调查,最终根据调查结果作出相关决定,如果CLPO在调查中发现行为违法,应采取适当的补救措施。对CLPO作出的决定,欧盟数据主体可向DPRC申请复审,DPRC在受理案件后,应当组成包括1名主审法官和1名具有相关经验的律师在内的复审小组,对CLPO的决定按照法定程序进行复审。律师可以代表申诉人的利益,并确保法院充分了解案件的全貌,保障程序公正和实体公正。如果DPRC复审小组多数成员认为有关机构对欧盟数据主体的数据处理行为违法或不当,可采取一系列救济措施,包括对违法收集的数据进行删改、对有关机构的数据访问权限加以限制、对未经合法授权已传输的数据进行召回等。
一方面,欧洲委员会、欧洲数据保护委员会以及美国相关部门将对DPF开展定期审查,首次审查将于DPF实施一周年内进行,审查内容主要为经过认证的美国组织是否充分遵守DPF原则,从而判断DPF在实践中的运行效果。在监管职权上,由美国商务部对DPF的日常运行进行管理和监督,联邦贸易委员会对经过认证的美国组织的规范情况进行监管。另一方面,公民自由监督委员会(PCLOB)可以对CLPO的处理决定、DPRC的复审程序、被投诉机构的实施情况采取审查措施,从而对救济措施的合法性、合理性和有效性进行独立审查监督,审查内容包括CLPO和DPRC对欧盟数据主体投诉事项处理的及时程度、必要信息获得程度、被投诉的情报机构是否遵守了决定、对违法违规事项是否采取了及时有效的改进措施等,最终向美国总统、司法部部长、国家情报局局长递交审查报告,相关机构必须严格执行PCLOB的最终建议,对救济机制评估结果应当进行公示。
(三)迷思再现:《充分性决定》将引发Schrems III案?
从《安全港协定》到《隐私盾协定》再到《充分性决定》,欧美数据跨境流动制度的分歧难以完全弥合,双方基于不同时代利益和国内法律变迁不断产生新一轮博弈。鉴于欧盟严苛的域内数据保护水准,美国通过采取一些措施尝试打消欧盟的顾虑,力图打造跨大西洋数据跨境流动的统一范式。在近二十年的历程中,欧美双方历经了博弈与合作,各自的分歧与矛盾交织碰撞,Schrems II案不仅巩固了欧盟数据跨境流动的隐私保护立场,同时推动了美国国内立法的改革,影响欧美公司多年的法律困境有了突破性进展。然而,双方的博弈注定不会止步于此,在新一轮的博弈成果——《充分性决定》达成的背景下,该框架相关机制的运行的实效性还有待实践的检验。《充分性决定》是否将被再度挑战?Schrems III案是否蓄势待发?都有待实践的检验。回归当下,《充分性决定》的出台填补了《隐私盾协定》失效后欧美数据跨境流动合作的空白,势必促进跨大西洋数据跨境传输业务的蓬勃发展。从全球来看,《充分性决定》不仅完善了全球数据跨境流动法律体系,也为其他国家参与全球数据治理提供了解决路径。概观全球主流的数据跨境流动范式,欧盟建构起以数据主体基本权利保护的模式,美国形成以开放数据市场的自由流动模式,中国则搭建起数据安全基础上的数据流动模式。然而,“如果没有国家通过法律提供一个以数据权利为基础的安全环境,数据主体将因缺乏控制数据的能力,不可能获得真正的数据自由,因而在个人数据广受威胁和侵害的人工智能时代,作为数据主体的我们非常有必要为数据权利而斗争”。
三、欧美数据跨境流动规则博弈崭新阶段的中国因应
当全球经济发展驶入数字经济的高速公路时,欧盟和美国的大量数据也将不可避免地流至中国境内。数据跨境流动往往涉及数据主权问题,而中国与欧美之间的数据跨境流动立场短时间内无法调和,《充分性决定》也给中国带来了机遇和挑战。有鉴于此,中国应当在数据保护与流动之间探寻平衡,构建数据跨境传输的多元治理方案,提高数据跨境传输的规范水平,在保障数据安全基础上实现数据价值最大化。
(一)欲破先立:完善国内数据跨境流动立法
网络安全法、数据安全法、个人信息保护法被誉为我国数据法律的“三驾马车”,象征着我国数据法律图景的初步呈现。然而,我国数据立法尚未勾勒出完善的法律图景,难以匹配我国数字经济的快速发展。其中,实现数据保护与数据流动的平衡是数据跨境流动面临的首要议题,二者看似矛盾,实则相辅相成。有鉴于此,我国数据立法应持续关注如何实现数据的保护与流动之间的平衡关系,而非绝对地将天平倾向任何一方。
数据主权是国家构建数据法律新秩序的核心力量,即一国对管辖范围内的数据处理活动拥有最高决定权,对在外的数据跨境流动拥有独立自主权。随着网络时代主权的物理边界日益模糊,各国为了争夺数据主权不断扩大国内数据法律的域外适用效力,传统的属地主义原则已无法适配数字经济的跨地域性。例如,GDPR第3条“地域范围”规定,即使数据处理行为不在欧盟境内,GDPR也可基于“设立机构、目标指向、因国际公法而适用”三个标准行使域外管辖权,使得域外效力得到极大扩张。相较而言,我国个人信息保护法第3条也规定了域外效力的适用条件,在确立了“处理行为发生地”的管辖标准之外,还将“(一)以向境内自然人提供产品或服务为目的;(二)分析、评估境内自然人的行为;(三)法律、行政法规规定的其他情形”纳入了管辖范围之内。具言之,无论数据控制者或数据处理者是否位于中国境内,一旦其数据处理活动发生在中国境内,个人信息保护法就可以适用。然则,相比欧盟GDPR规定的域外适用标准,我国个人信息保护法规定的域外适用标准还不够明晰,尚待进一步廓清。首先,数据跨境传输通常涉及位于不同国家的设备,数据处理行为的单一地点因技术性较强难以被准确界定。其次,“提供产品或服务为目的、分析与评估行为”仅为原则性规定,细则的缺失不仅任意扩大了适用范围,也导致了法律适用存在不确定性。有鉴于此,应当明晰个人信息保护法第3条规定的域外适用条件。一方面,根据GDPR“设立机构”标准修改个人信息保护法的“处理行为发生地”标准,在具体适用“处理行为发生地”标准时,可辅以“提供产品或服务为目的、分析与评估行为”对传输设备的位置进行判断。另一方面,对于“提供产品或服务为目的、分析与评估行为”的内涵边界,需要通过立法对其进行解释和完善,可以采取原则+列举的方式增加适用情形的可预见性,合理限缩“提供产品或服务为目的、分析与评估行为”的外延。
个人信息保护法规定了个人信息跨境传输的认证机制,2022年6月,我国发布了《个人信息跨境处理活动安全认证规范V2.0》和《个人信息保护认证实施规则》。虽然DPF认证与我国认证机制的适用场景不同,但二者目的都旨在通过认证让符合条件的主体实施个人信息跨境传输,减少数据流动的壁垒。DPF下的认证机制具有许多强制性规定,关于个人数据权利受到侵害时的救济措施也比较及时和完善,能够很大程度上确保个人数据权利得到有效保护。相比之下,我国认证机制主要基于双方签订的合同,一旦发生个人信息侵权事件只能基于合同规定寻求救济措施,而高昂的救济成本与较低的救济效率往往导致无果而终,现行认证机制缺少强有力的救济保障措施,难以为数据主体在数据跨境传输中保驾护航。此外,虽然我国认证机制规定个人信息处理者与境外接收方有义务承诺接受认证机构对个人信息跨境处理活动的监督,并提供采取必要行动的书面证明,但对监督的目的、具体事项等未做规定,也未将境外数据接收方对出境数据的处理活动明确纳入监督范围。有鉴于此,可以借鉴DPF中的规定,设立能够及时和有效受理投诉决定的机构,并对认证机制的有关规定进行细化。
(二)源头预防:加强企业数据跨境流动规范建设
2023年4月24日,中国信息通信研究院发布了《中国数字经济发展研究报告(2023年)》,报告指出2022年我国数字经济规模达到50.2万亿元,占GDP比重相当于第二产业占国民经济比重,达到41.5%。可见,数字经济已经成为我国当下及未来经济发展的重要引擎,而跨国公司的数据跨境流动则构成数字经济发展的重要动力。中国企业在欧盟和美国具有庞大的市场份额,而中国广阔的数字市场也是欧美竞相争夺的重要场域。在数字经济时代,我国企业在对外投资中往往涉及数据的跨境传输,而数据安全与国家安全愈趋紧密,中国企业经常面临欧美国家的数据监管和安全审查。为了避免因违反欧美国家的数据法律而面临巨额罚款甚至退出欧美市场的法律风险,我国企业应加强规范能力建设。
首先,企业应当严格遵守所在国的数据法律规定,履行数据跨境传输的安全保障义务,构建企业内部的数据跨境流动规范体系,通过设立数据规范部门、利用技术手段实施风险监测和预警措施。其次,应当发挥个人信息出境标准合同在我国企业数据跨境传输中的重要作用。具言之,我国个人信息出境标准合同文本中规定的个人信息处理者与境外接收方的条款主要为义务性条款,权利性条款则由双方进行约定,但不得与合同的其他内容冲突。根据《个人信息出境标准合同办法》第4条,个人信息处理者通过订立标准合同向境外提供个人信息需同时满足以下条件:“(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。”未能同时符合上述条件的企业只能通过出境安全评估向境外提供个人信息,或将个人信息进行本地化存储,不能直接或间接采取数量拆分等手段订立标准合同。此外,根据《个人信息出境标准合同办法》第5条,同时符合上述条件的企业在订立标准合同前应开展个人信息保护影响评估,在发生规定情形时重新开展评估、补充或重新订立标准合同。
(三)话语凝练:加强国际合作,推广中国范式
长期以来,囿于法律体系和价值理念的差异,欧美等国家和地区对中国的数据跨境流动模式缺少信任。例如,我国国家情报法第7条中规定“任何个人和组织都有义务配合国家情报活动”。欧盟对此持谨慎态度,该条款被误解为中国政府可以任意获取中国企业在欧盟地区存储的数据,从而对欧盟数据主体的基本权利产生威胁,不仅使中国企业的形象大受影响,也给中国融入全球数据跨境流动法律体系造成了困难。美国CLOUD Act的“长臂管辖”机制授权美国执法和安全机构直接调取企业境外数据,而欧盟大量数据存储在美国Amazon云服务商中,数据存储的安全性一度被欧盟质疑。对此,美国发布白皮书进行解释并积极与欧盟国家沟通,一定程度上改善了欧盟的态度。当前,我国提出了《全球数据安全倡议》,旨在凝聚多元共识,弥合不同国家之间的数据安全、隐私保护、数字经济发展之间的分歧,构建数字命运共同体。有鉴于此,中国应当秉持合作共赢的理念,积极推进《全球数据安全倡议》的解释、加强与欧美国家之间的沟通与合作。此外,我国可以通过“数字丝绸之路”搭建与欧盟数据跨境流动的合作框架,回应沿线国家关于数据保护的共同关切,构建国际数据跨境流动互信机制,扩大中国数据跨境流动范式的影响力。中国已经加入《区域全面经济伙伴关系协定》(RCEP),正在申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)和《数字经济伙伴关系协定》(DEPA)等包含数字贸易的高水平经贸协定。2023年4月23日,商务部表示“中国有意愿有能力加入CPTPP”,表明中国加入CPTPP的决心。然而,由于各成员国法律制度、经济发展水平等存在差异,利益诉求不同导致谈判不可能一蹴而就,谈判过程注定充满了坎坷与挑战。在未来与CPTPP成员国谈判中,中国应当在保障国家利益基础上积极对接CPTPP数据跨境流动条款,充分利用“合法公共政策目标”“基本安全利益”等例外规定争取国家利益,提升中国在全球数据治理体系中的话语权。
结语
自大西洋两岸产生数据跨境传输需求时起,欧盟和美国之间的规则博弈就未曾停歇。从《安全港协定》失效到《隐私盾协定》失效,欧美数据跨境流动合作趋向离散,在《隐私盾协定》失效后,欧美采取的种种措施似乎又印证着双方分歧逐渐弥合。欧美博弈的本质反映出欧盟数据权利保护的“布鲁塞尔效应”与美国数据监控下的“长臂管辖”之间的对抗。作为欧美博弈的崭新成果,《充分性决定》通过新的隐私义务、双重救济措施以及定期审查机制有力回应了《隐私盾协定》关切,填补了《隐私盾协定》失效后跨大西洋数据跨境流动框架的长期空白。尽管质疑不会就此消失,但不可否认,以Meta为代表的美国企业将因《充分性决定》的出现而欢呼雀跃,大西洋两岸数据跨境传输业务也将蒸蒸日上。在全球数据跨境流动规则的变革之下,中国应当贯彻数据保护与流动的平衡理念,对个人信息保护法中的域外适用标准、认证机制予以完善,提升个人信息跨境传输的安全性和流动性。中国企业在数据跨境传输中,应加强自身规范能力建设,通过与境外接收方签订个人信息出境标准合同促进业务的开展。从国际层面来看,合作与沟通是消除理念分歧、实现共赢局面的有效手段,在此过程中,注重形成并推广中国数据跨境流动范式,掌握数字经济时代的规则话语权。
往期精彩回顾
徐伟琨|区域全面经济伙伴关系协定背景下中国—东盟地理标志法律保护制度协调研究
张议亓|强制性公司可持续尽责义务研究——基于对欧盟《公司可持续尽责指令提案》的考察